Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

リストとして適用された複数のファイアウォールフィルターについて

このトピックでは、次の情報について説明します。

課題大規模なファイアウォールフィルター管理の簡素化

通常は、単一の ファイアウォールフィルター を入力または出力方向、あるいはその両方のインターフェイスに適用します。ただし、このアプローチは、デバイスが多くのインターフェイスで設定されている場合、実用的ではない可能性があります。大規模な環境では、影響を受けるすべてのインターフェイスのフィルターを再設定することなく、複数のインターフェイスに共通するフィルタリング項目を変更できる柔軟性が必要です。

一般的に、解決策は、複数のファイアウォールフィルターの効果的な「連鎖」構造を単一のインターフェイスに適用することです。フィルタリング用語を複数のファイアウォールフィルターに分割し、それぞれがフィルタリングタスクを実行します。次に、特定のインターフェイスに対して実行するフィルタリングタスクを選択し、そのインターフェイスにフィルタリングタスクを適用できます。この方法では、フィルタリングタスクの設定は単一のファイアウォールフィルターでのみ管理できます。

Junos OS ポリシー フレームワークには、個々のルーター インターフェイスに対する複数の個別のファイアウォール フィルターの適用を管理する 2 つのオプションがあります。1 つのオプションは、複数のフィルターを 1 つの入力リストまたは出力リストとして適用することです。もう1つのオプションは、別のファイアウォールフィルターの条件内からファイアウォールフィルターを参照することです。このオプションは、PTX10003 ルーターではサポートされていません。

ソリューション: ファイアウォールフィルターのリストを適用する

複数のファイアウォールフィルターに共通する重複したフィルタリング条件を設定しないようにする最も簡単な方法は、複数のファイアウォールフィルターを設定し、カスタマイズしたフィルター のリスト を各インターフェイスに適用することです。Junos OSは、フィルターを(リストに表示されている順序で)使用して、インターフェイスを通過するパケットを評価します。複数のインターフェイスで共有されるフィルタリング用語を変更する必要がある場合、変更する必要があるのは、それらの用語を含む1つのファイアウォールフィルターのみです。

フィルター リスト用の複数フィルターの構成

各ルーター インターフェイスの一意のリストで適用されるようにファイアウォール フィルターを構成するには、次のように共有パケットフィルタリングルールをインターフェイス固有のパケットフィルタリングルールから分離する必要があります。

  • Unique filters—特定のインターフェイスに固有のパケットフィルタリングルールのセットごとに、そのインターフェイスのフィルタリング条件のみを含む個別のファイアウォールフィルターを設定します。

  • Shared filters- 2つ以上のインターフェイスに共通するパケットフィルタリングルールのセットごとに、共有フィルタリング条件を含む個別のファイアウォールフィルターを設定することを検討してください。

    ヒント:

    フィルタ リストを使用して多数のファイアウォール フィルタを適用することを計画している場合、管理者は多くの場合、フィルタリング条件、顧客がサブスクライブするサービス、またはインターフェイスの目的によって共有フィルタを整理します。

ルーター インターフェイスへのフィルター リストの適用

ファイアウォールフィルターのリストをインターフェイスに適用するには、そのインターフェイスのパケットフィルタリング要件を満たすフィルターを選択します。各インターフェースについて、スタンザ内に または ステートメント(あるいはその両方)を含めて、関連するフィルターを使用される順序で指定できます。input-listoutput-listfilter

  • インターフェイスに関連する共通のフィルタリング用語を含むフィルターを含めます。

  • インターフェイスに固有のフィルタリング用語のみを含むフィルターを含めます。

フィルタ リストのインターフェイス固有の名前

フィルタ リストはインターフェイスの下に設定されるため、結果として連結されたフィルタは インターフェイス固有になります。

注:

フィルタ リストがインターフェイスの下に構成されている場合、フィルタ リスト内のファイアウォール フィルターがインターフェイス固有として構成されているかどうかに関係なく、結果として連結されたフィルターはインターフェイス固有になります。さらに、インターフェイス固有のファイアウォールフィルターをインスタンス化することで、ファイアウォールフィルターカウンターの個別のインスタンスが作成されるだけでなく、ポリサーアクションの個別のインスタンスも作成されます。ファイアウォールフィルター設定で指定されたアクションを通じて適用されるポリサーは、インターフェイスグループ内の各インターフェイスに個別に適用されます。

システムが生成するインターフェイス固有フィルターの名前は、完全なインターフェイス名と、それに続く入力フィルター リストの ''、出力フィルター リストの ''で構成されます。-i-o

  • —たとえば、 ステートメントを使用して一連のフィルターを論理インターフェイスに適用すると、Junos OSはフィルターに次の名前を使用します。Input filter list nameinput-listge-1/3/0.0

  • —たとえば、 ステートメントを使用して 一連のフィルターを論理インターフェイス に適用すると、Junos OSはフィルターに次の名前を使用します。Output filter list nameoutput-listfe-0/1/2.0

注:

Junos OS Evolvedでは、フィルター名が異なります。例えば、フィルターが inet ファミリーにバインドされている場合、フィルターには および という名前が付けられます。ge-1/3/0/0-inet-ife-0/1/2.0-inet-o

ファイアウォールフィルター名を指定するJunos OS 動作モードコマンド を入力すると、フィルターリストのインターフェイス固有の名前を使用できます。

一致した用語に終了アクションまたは次の用語アクションが含まれている場合のフィルター リストによるパケットの評価方法

デバイスは、終了アクションが発生するか、パケットが暗黙的に廃棄されるまで、リスト内の最初のフィルターから順次、リスト内のフィルターに対してパケットを評価します。

一致した用語が終了アクションと アクションを指定しているかどうかに基づいて、ファイアウォール フィルタ リストがパケットを評価する方法について説明します。表 1next term アクションは 、終了アクションでも非終了アクションでもなく、 フロー制御 アクションです。next term

表 1: ファイアウォール フィルター リストの動作

一致条件に含まれるファイアウォールフィルターアクション

用語の説明

パケットフィルタリングの動作

終了

次学期

一致した用語には、終了アクション(など)が含まれますが、アクションは含まれませんdiscardnext term

デバイスは終了アクションを実行します。フィルタ内の後続の項およびリスト内の後続のフィルタは、パケットの評価に使用されます。

一致した用語にはアクション が含まれますが、終了するアクションは含まれません。next term

デバイスは非終了アクションを実行し、フィルター内の次の項またはリスト内の次のフィルターに対してパケットを評価します。

注:

Junos OS Evolved では、 はアクションの最終項として表示することはnext termできません。設定した一致条件なしで next term がアクションとして指定されるフィルター項はサポートされていません。

一致した用語には、 アクションも終了アクションも含まれません。next term

デバイスは非終了アクションを実行し、その後デバイスは暗黙的にパケットを受け入れます。アクションは終了アクション であるため、フィルター内の後続の用語およびリスト内の後続のフィルターはパケットの評価に使用されます。accept

アクションの終了については、を参照してください 。ファイアウォールフィルター終了アクション

注:

同じファイアウォールフィルター条件内で、終了アクションを含むアクションを設定する ことはできません。next term

プロトコル非依存フィルターと IP ファイアウォール フィルターがリストに含まれている場合のフィルター リストによるパケットの評価方法

プロトコル非依存()ファイアウォールフィルターとプロトコル固有(または)ファイアウォールフィルターに同時に関連付けられた単一のインターフェイスでは、プロトコル非依存ファイアウォールフィルターが最初に実行されます。family anyfamily inetfamily inet6

最初のフィルターの終了アクションによって、2 番目のフィルターでもパケットを評価するかどうかが決まります。

  • 最初のフィルターがアクションの実行によって終了した場合、2 番目のフィルターはパケットを評価しません。accept

  • 最初のフィルターがパケットに一致する条件なしで終了した場合(暗黙的なアクション)、2番目のフィルターもパケットを評価します。discard

  • 最初のフィルターが明示的なアクションを実行して終了した場合、2 番目のフィルターはパケットを評価しません。discard

PTX10003 ルーターは、フィルター リスト内のプロトコル非依存フィルターと他のフィルターの組み合わせをサポートしていません。

関連項目